Techniek en standaardisatie

De zorg werkt al jaren met dezelfde, veelal inadequate beveiligingsconcepten. Steeds weer wordt gekozen voor techniek die gegevens breed en ongericht toegankelijk maakt, met alle risico’s van dien. Patiënten vinden het vaak prima als gegevens worden uitgewisseld met medebehandelaren - maar niet met iedereen. Waarom zou een patiënt dat ook willen?

Artsen willen dat beschikbaar gestelde gegevens passen bij de situatie, zoals het beroepsgeheim vereist. Het beschikbaar stellen van een bak ongefilterde informatie geeft alleen maar risico’s van informatie-overload en misinterpretatie bij de waarnemend huisarts. Waarom zou een arts dat willen?

Waarom niet uitgaan van een wendbaar en flexibel systeem — een ‘toolkit’ die zich voegt naar wat nodig is?

Whitebox legt de lat hoger

We werken aan nieuwe standaarden waarbij de uitwisseling van gegevens het zorgproces volgt. Dit is flexibel en aanpasbaar aan de situatie. Bij het ontwerp van de Whitebox hebben hanteren we een aantal privacybeschermende beginselen.

Privacy en security by design

Privacy by design betekent dat privacy en beveiliging integraal in het ontwerp van systemen wordt toegepast. Dat ‘single points of failure’ worden vermeden. Dat niet meer mensen toegang krijgen tot gegevens, dat de mensen die toegang krijgen, en dat mensen niet meer gegevens zien dan nodig.

Voor de zorg zijn privacy by design en het beroepsgeheim heel mooi gecodeerd in de Wet op de geneeskundige behandelovereenkomst. Vanuit die wet geredeneerd worden autorisaties decentraal bij de - voor het dossier en het beroepsgeheim verantwoordelijke - zorgaanbieder vastgelegd. Alle uitgegeven en openstaande autorisaties zijn controleerbaar voor zowel arts als patiënt. Er is altijd instelbaar welke gegevens gedeeld worden. Tussenschakels die niet noodzakelijk zijn worden geschrapt uit de architectuur. Waar centrale componenten toch nodig zijn, verwerken deze geen persoonsgegevens. Al het dataverkeer moet end-to-end beveiligd zijn.

Met deze eisen blijven we heel dicht bij wat zorgverleners en patiënten verwachten van de uitwisseling van gegevens in de zorg. Zó dicht zelfs dat toestemming voor gegevensuitwisseling vaak niet nodig is, of verondersteld kan worden.

Voor meer details over de interne techniek, zie ook onze technologie blog.

Ontwikkeling en beheer van standaarden

Push autorisatie maakt gebruik van bestaande Internet standaarden, die op een specifieke manier worden toegepast om de mogelijkheid tot gerichte, specifieke autorisaties te creëeren. Gegevens kunnen worden ingelezen in systemen maar kunnen ook ingezien via een standaard web-browser - mits er een geldig authenticatiemiddel wordt gebruikt. Dit voorkomt een afhankelijkheid van leveranciers - systemen zoals autorisatiecodes kunnen direct gebruikt worden, wat goed is voor de privacybescherming die we patiënten kunnen bieden.

Het intellectueel eigendom van de push autorisatie standaard die door Whitebox is ontwikkeld, is overgedragen naar Stichting Decozo. Op de site van Decozo kunt u de uitgangspunten van de stichting terugvinden.

Het beheer van de standaard is zo georganiseerd dat leveranciers inspraak en invloed kunnen uitoefenen op de ontwikkeling van de standaarden, maar niet het laatste woord hebben. Dat hebben privacy-orgnaisaties, die een bewakende rol in de governance van de standaard hebben. Zo bewaken we de privacy van het push autorisatie model op de lange termijn.